Upgradez facilement votre Cloud PC Windows 365

Les Cloud PC de Microsoft sont disponibles depuis quelques temps déjà, et de nouvelles fonctionnalités sont leurs rajoutées très régulièrement. Acheté sous forme de licence mensuelle, le Cloud PC initialement commandé peut ne plus suffire à l’utilisateur. Microsoft propose, encore en préversion à cette date, le redimensionnement automatique de celui-ci.

Si vous n’avez pas encore eu l’occasion d’aller plus en profondeur sur les Cloud PC de Microsoft, voici quelques liens vers des articles précédemment écrits, et une excellente vidéo :

Qu’est-ce que le redimensionnement d’un Cloud PC Windows 365 ?

La documentation de Microsoft l’explique très bien :

L’action à distance Redimensionner vous permet de mettre à niveau la RAM, le processeur virtuel et la taille de stockage d’un PC cloud Windows 365 Entreprise pour répondre aux besoins de l’utilisateur.

Microsoft Learn

Pourquoi ne pas simplement recréer un nouveau Cloud PC ?

La démarche de repartir sur un nouveau Cloud PC est tout à fait envisageable. Mais le redimensionnement du Cloud PC a pour principal avantage de conserver les données de l’utilisateurs, mais aussi ses applications et bien d’autres encore.

Peut-on redimensionner son Cloud PC à la baisse ?

La réponse est oui, dans une certaine mesure. Tant que le SKU choisi ne contient pas un disque plus petit que celui présent sur SKU de départ : aucun souci.

La taille d’un disque, et donc des partitions présentes sur celui-ci, est souvent problématique pour certains traitements automatisés.

Doit-on changer sa licence Windows 365 ?

La réponse est encore oui. Le redimensionnement d’un poste Windows 365 nécessite de disposer d’une licence vers la nouvelle taille.

Mais, à l’inverse de nombreuses licences Cloud achetées sous forme de souscription à travers le New Commerce Experience (NCE), je n’ai pas trouvé de moyen direct de migrer de licence Windows 365.

Cela est bien dommage car la licence Windows 365 peut-être prise pour une année, et il sera bien pratique de migrer sur un Cloud PC plus puissant si le besoin s’en fait sentir avant la date d’échéance.

Néanmoins, j’ai pu m’en sortir avec l’aide du Support de Microsoft. Pour cela, j’ai dû acheter une nouvelle licence Windows 365 avant que la précédente, moins puissante, soit annulée et que je sois remboursé.

Est-ce que les utilisateurs peuvent redimensionner leur propre Cloud PC ?

La réponse est non. Comme le rappelle Microsoft, il est nécessaire de disposer d’un des rôles ou combinaisons de rôles suivants pour y parvenir :

  • Administrateur global
  • Administrateur de service Intune
  • Rôles Administration Lecteur Intune + PC cloud

Le redimensionnement est-il disponible pour tous les SKUs Windows 365 ?

Sauf erreur, seuls les SKUs Enterprise sont concernés par cette nouveauté. En effet, un Cloud PC dont le SKU est de type Business ne pourra pas encore avoir cette fonctionnalité.

Que va-t-il se passer pour l’utilisateur durant le redimensionnement ?

Le redimensionnement d’un Cloud PC nécessite de déconnecter l’utilisateur. Il est donc nécessaire de le prévenir en amont afin que ce dernier soit au courant et qu’il ne perde aucune donnée.

Le traitement dure une trentaine de minutes environ.

Comment procède-t-on pour redimensionner ?

Le processus n’est pas bien compliqué. Voici en détail un pas à pas pour mieux vous guider. J’ai simulé la présence de fichiers à divers endroits pour vérifier l’impact du redimensionnement.

Commencez par vérifier la présence d’une nouvelle licence Windows 365 non assignée sur la console d’administration de Microsoft 365 :

Comme vous le montre la copie d’écran ci-dessous, mon utilisateur est actuellement équipé d’un Cloud PC de 2 coeurs / 4Go de mémoire vive. Mon but est de redimensionner son Cloud PC vers une configuration avec deux fois plus de mémoire vive.

Un rapide tour dans son gestionnaire des tâches montre bien les 4Go de mémoire vive :

J’ai déposé un dossier contenant des photos sur le bureau du Cloud PC de départ. L’icône vert sur celui-ci nous montre une synchronisation vers son compte OneDrive :

Le dossier est bien présent sur le bureau du Cloud PC de départ :

J’en profite pour déposer un second dossier de photos à la racine de son disque C, non synchronisé avec OneDrive :

Ce dossier est plus petit que le précédent, mais il nous permettra de vérifier la bonne récupération des données sur le Cloud PC d’arrivée :

Retournez sur la console Intune afin de lancer le redimensionnement du Cloud PC via le menu suivant :

Choisissez la taille de nouvelle configuration du Cloud PC, puis cliquez sur Redimensionner :

Confirmez votre choix :

L’ordre de redimensionnement a bien été pris en compte. Du point de vue utilisateur, il ne nous reste qu’à patienter :

Une première notification apparaît sur le Cloud PC :

On retrouve également l’action dans l’historique des actions lancées depuis la console Intune :

Quelques minutes plus tard, l’utilisateur est bien déconnecté de son Cloud PC :

Un tour dans la console Intune nous montre bien que le redimensionnement est en cours sur le Cloud PC de notre utilisateur :

Si l’utilisateur tente de s’y reconnecter avant la fin du redimensionnement, le message d’erreur suivant apparaît :

Environ 20 minutes plus tard, le statut du Cloud PC change à nouveau :

Toujours sur cette même console Intune, le journal des opérations sur le poste affiche bien le statut suivant :

Afin que l’utilisateur puisse se connecter à son nouveau Cloud PC , un rafraîchement des accès est obligatoire dans l’application :

Juste après le rafraîchement, le nouveau Cloud PC apparaît bien en dessous du précédent, qui devient alors vide de poste :

Cliquez-dessus afin d’ouvrir une nouvelle session de bureau à distance :

Retournez sur le Gestionnaire des tâches afin de vérifier la nouvelle mémoire disponible :

Comme votre utilisateur de test ne doit pas être administrateur du poste, ouvrez la fenêtre suivante en mode Administrateur, puis lancez le programme suivant :

diskmgmt.msc

Vérifiez dans le Gestionnaire des disques la nouvelle taille de la partition du disque C :

Toujours sur le Cloud PC, vérifiez bien la présence :

  • du dossier présent sur le bureau de l’ancien Cloud PC
  • du dossier présent à la racine du disque C de l’ancien Cloud PC

Sur le portail Intune, retournez sur la fonction de redimensionnement du Cloud PC afin de constater l’impossibilité de retourner sur un SKU ayant un disque plus petit :

Conclusion

Rien à dire de spécial sur cette fonctionnalité si ce n’est qu’elle marche très bien, et qu’elle pourra faciliter la vie à de nombreux techniciens IT 😎💪

Autopilot pour … Intune !

La mise en place d’un processus de provisionnement des postes utilisateurs peut, par moment, virer au casse-tête ! Entre le spécifique nécessaire à certains utilisateurs, les besoins complexes, ou encore les contraintes géographiques pour la réception des matériels, les équipes IT doivent pouvoir se reposer sur des outils modernes, efficaces et facilement adaptables.

Le but n’étant pas de leur retirer tout travail, mais bien de leur faciliter la vie ! Après un premier article sur les GPOs poussées via Intune, je trouvais intéressant d’écrire un second article, dédié à la fonction d’Autopilot de celui-ci.

Intune, ou Microsoft Endpoint Manager, simplifie le processus de préparation des postes utilisateurs. Comme les services du Cloud Microsoft, Intune a la faculté de pousser des configurations de poste et des applications au travers d’une connexion internet.

Cette approche de connexion simplifie grandement le management des postes, que ces derniers soient sur le réseau d’entreprise ou en situation de mobilité.

Qu’est-ce qu’Autopilot ?

Windows Autopilot est un ensemble de technologies utilisées pour configurer et préconfigurer de nouveaux appareils de manière à les préparer à une utilisation productive. Windows Autopilot peut être utilisé pour déployer des PC Windows

Microsoft Learn

Le bénéfice premier d’Autopilot est donc de combler la phase initiale, afin que le poste de l’utilisateur, à peine déballé par ce dernier, soit directement rattaché au tenant, et donc de fait « guidé » dans un processus de mise en route.

Cette méthode permet de retirer, dans certains cas, des étapes préparatoires réalisées par les équipes IT, ou des actions réalisées par l’utilisateur final pour la finalisation du processus de configuration du poste.

De quoi avons-nous besoin pour qu’un poste intègre le processus Autopilot ?

Dans la plupart des cas, l’importation des postes à un tenant 365 via Autopilot repose sur l’utilisation du Hash de l’appareil.

Un hachage d’appareil ou de matériel est une chaîne de chiffres et de lettres … qui contient des informations sur l’appareil et son utilisateur. Ces informations s’apparentent à l’identité de l’appareil.

Seon

Il est aussi possible de travailler avec le numéro de série du fabricant. Une fois la liste de hashs à disposition, il suffit de :

  • Importer celle-ci sur le tenant 365, via le portail Intune
  • Configurer un profil Autopilot associé aux machines importées

Ai-je besoin de licences spécifiques pour Autopilot ?

Comme il est rappelé dans la documentation Microsoft, Autopilot a besoin de plus que la licence Intune. Il est en effet nécessaire de disposer d’une licence Azure Active Directory Premium P1 ou P2.

Afin de se faire une meilleure idée sur le processus Autopilot, je vous propose un petit exercice à réaliser sur une souscription Azure. Dans cet exercice, nous allons effectuer les étapes suivantes :

Rappel des prérequis :

Pour réaliser cet exercice sur Autopilot, il vous faudra disposer de :

  • Un tenant Microsoft
  • Une souscription Azure valide
  • Une licence contenant Intune
  • Une licence contenant Azure AD Premium P1

Afin de tester la fonctionnalité Autopilot, nous allons avoir besoin d’intégrer une machine dans notre tenant 365. Plus exactement, il va être nécessaire de précharger son hash dans la console Intune sur le tenant 365 de test.

Pour cela, je vous propose de simuler un poste sous Windows 11 grâce à un environnement virtualisé de type Hyper-V.

Dans Azure, il est en effet possible d’imbriquer de la virtualisation. Cela demande malgré tout quelques exigences, comme le SKU de la machine virtuelle Hyper-V, mais aussi sa génération.

Etape I – Préparation de la machine virtuelle hôte (Hyper-V) :

Depuis le portail Azure, commencez par rechercher le service des machines virtuelles :

Cliquez-ici pour créer votre machine virtuelle hôte (Hyper-V) :

Renseignez tous les champs, en prenant soin de bien sélectionner les valeurs jaunes suivantes :

Choisissez une taille de machine virtuelle présent dans la famille Dsv3, puis cliquez sur Suivant :

Rajoutez un second disque pour stocker la machine virtuelle invitée (Windows 11), créée plus tard dans notre machine virtuelle hôte (Hyper-V) :

Conservez les options par défaut, puis cliquez sur OK :

Cliquez ensuite sur Suivant :

Retirez l’adresse IP publique (pour des questions de sécurité), puis lancez la validation Azure :

Une fois la validation réussie, lancez la création des ressources Azure :

Quelques minutes plus tard, cliquez-ici pour voir votre machine virtuelle hôte (Hyper-V) :

Ensuite, cliquez-ici pour déployer le service Azure Bastion :

Nous allons utiliser Bastion pour nous connecter de façon sécurisée à notre VM hôte (Hyper-V).

Attendez quelques minutes la fin du déploiement d’Azure Bastion, indispensable pour continuer les prochaines opérations :

Peu après, constatez le déploiement réussi d’Azure Bastion via la notification Azure suivante :

Renseignez les identifiants renseignés lors de la création de votre VM hôte (Hyper-V) :

Autorisez le fonctionnement du presse-papier pour Azure Bastion :

Une fois connecté sur votre machine virtuelle hôte (Hyper-V), ouvrez Windows PowerShell :

Exécutez la commande suivante pour installer les deux rôles suivants :

  • Rôle DHCP
  • Rôle Hyper-V
Install-WindowsFeature -Name DHCP,Hyper-V  –IncludeManagementTools

Attendez environ une minute que l’installation des rôles se termine :

Lancez la commande suivante pour lancer un redémarrage de votre VM hôte (Hyper-V) :

Shutdown -R

Attendez environ 30 secondes que le redémarrage se termine pour se reconnecter à celle-ci, toujours via Azure Bastion :

Une fois la session Bastion rouverte, ouvrez PowerShell en mode ISE :

Lancez le script suivant afin de créer un switch virtuel dans Hyper-V, et de type interne :

$switchName = "InternalNAT"
New-VMSwitch -Name $switchName -SwitchType Internal
New-NetNat –Name $switchName –InternalIPInterfaceAddressPrefix “192.168.0.0/24”
$ifIndex = (Get-NetAdapter | ? {$_.name -like "*$switchName)"}).ifIndex
New-NetIPAddress -IPAddress 192.168.0.1 -InterfaceIndex $ifIndex -PrefixLength 24

Lancez le script suivant afin de configurer un périmètre DHCP avec une règle de routage, et le serveur DNS d’Azure :

Add-DhcpServerV4Scope -Name "DHCP-$switchName" -StartRange 192.168.0.50 -EndRange 192.168.0.100 -SubnetMask 255.255.255.0
Set-DhcpServerV4OptionValue -Router 192.168.0.1 -DnsServer 168.63.129.16
Restart-service dhcpserver

Depuis la console Server Manager, ouvrez Hyper-V Manager :

Ouvrez le menu suivant :

Contrôlez la présence de votre switch virtuel créé précédemment :

Ouvrez le Gestionnaire de disques depuis le menu démarrer afin de configurer le disque de données ajouté sur votre VM hôte (Hyper-V) :

Dès l’ouverture du Gestionnaire de disques, cliquez sur OK pour démarrer l’initialisation du disque de données :

Sur celui-ci, créez un nouveau volume :

Cliquez sur Suivant :

Cliquez sur Suivant :

Cliquez sur Suivant :

Cliquez sur Suivant :

Cliquez sur Suivant :

L’environnement Hyper-V est maintenant en place. Nous allons pouvoir créer ensemble la machine virtuelle invitée (Windows 11).

Etape II – Création de la machine virtuelle invitée (Windows 11) :

Pour cela, il est nécessaire de récupérer une image au format ISO de Windows 11 afin de créer la machine virtuelle invitée (Windows 11), puis d’y installer l’OS.

Toujours sur la machine virtuelle hôte (Hyper-V), ouvrez le navigateur internet Microsoft Edge.

Rendez-vous sur la page suivante pour télécharger l’ISO de Windows 11, puis effectuez les actions suivantes :

Choisissez la langue désirée, puis cliquez sur Confirmer :

Cliquez sur la version 64 bits pour lancer le téléchargement :

Attendez quelques minutes pour que le téléchargement de l’ISO se termine :

Depuis votre VM hôte (Hyper-V), rouvrez votre console Hyper-V Manager, puis cliquez-ici pour créer votre première machine virtuelle invitée (Windows 11) :

Cliquez sur Suivant :

Modifier les informations suivantes pour pointer vers le nouveau lecteur créé sur la VM hôte (Hyper-V), puis cliquez sur Suivant :

Pensez à bien choisir Génération 2 :

Comme indiqué, cette option ne sera plus modifiable par la suite.

Modifier la taille de la mémoire vive allouée à la VM invitée (Windows 11), puis cliquez sur Suivant :

Utilisez le switch créé précédemment, puis cliquez sur Suivant :

Cliquez sur Suivant :

Utilisez le fichier ISO de Windows 11 téléchargée précédemment, puis cliquez sur Suivant :

Cliquez sur Terminer pour finaliser la création de votre machine virtuelle invitée (Windows 11) :

Une fois la machine virtuelle créée, modifiez sa configuration comme ceci :

Dans la section Sécurité, cochez la case suivante pour activer TPM :

Modifiez le nombre de processeurs virtuels afin d’accélérer l’installation de Windows 11, puis cliquez sur OK :

Double-cliquez sur votre machine virtuelle invitée (Windows 11) :

Cliquez-ici pour lancer le démarrage de la VM invitée (Windows 11) :

Appuyez sur n’importe quelle touche du clavier pour démarrer sur l’image ISO de Windows 11 :

Attendez que le chargement se termine :

La machine virtuelle est maintenant prête à recevoir l’OS Windows 11. Suivez toutes les étapes de l’installation pour le configurer et l’installer.

Etape III – Installation de Windows 11 sur la VM invitée (Windows 11) :

Choisissez les informations de langue qui vous correspondent, puis cliquez sur Suivant :

Lancez l’installation de Windows 11 :

Attendez que le démarrage de l’installation se lance, puis cliquez-ici pour ne pas renseigner de clef de licence Windows 11 :

Choisissez une version de Windows 11, puis cliquez sur Suivant :

Acceptez les termes et conditions de Microsoft, puis cliquez sur Suivant :

Sélectionnez l’installation personnalisée de Windows 11 :

Validez l’installation sur le seul disque disponible, puis cliquez sur Suivant :

Attendez maintenant que l’installation de Windows 11 commence :

Lancez le redémarrage de la machine virtuelle invitée (Windows 11) :

Attendez quelques minutes que le redémarrage se poursuivre :

Sélectionnez le pays adapté, puis cliquez sur Oui :

Choisissez le clavier correspondant au vôtre, puis cliquez sur Oui :

Ajoutez, si besoin, un second clavier :

Attendez que l’installation de Windows 11 vérifie si de nouvelles mises à jour sont disponibles :

Nommez votre machine virtuelle invitée (Windows 11) selon vos souhaits, puis cliquez sur Suivant :

Attendez que la configuration finale se termine :

Afin de récupérer le hash de notre machine virtuelle invitée (Windows 11), nous avons besoin d’un compte local.

Pour cela, configurer votre VM invitée (Windows 11) comme ceci, puis cliquez sur Suivant :

Donnez à nom à votre compte local Windows, puis cliquez sur Suivant :

Définissez un mot de passe à votre compte local Windows 11, puis cliquez sur Suivant :

Confirmez votre nouveau mot de passe une seconde fois, puis cliquez sur Suivant :

Adaptez la configuration des paramètres de confidentialité, puis cliquez sur Accepter :

Attendez quelques minutes durant la seconde vérification de mise à jour :

Attendez enfin la dernière finalisation de la configuration de Windows 11 :

Vous voilà enfin sur le bureau Windows de votre machine virtuelle invitée (Windows 11) :

Retournez sur la console Hyper-V de votre VM hôte (Hyper-V) afin de créer un snapshot de votre VM invitée (Windows 11) :

Attendez quelques secondes, puis cliquez sur OK sur le message de notification suivant :

La machine virtuelle invitée est maintenant en place avec un OS Windows 11. Nous allons maintenant récupérer son hash, l’intégrer dans notre tenant de test, puis réinitialiser celle-ci pour tester Autopilot.

Etape IV – Récupération et intégration du hash de la VM invitée (Windows 11)

Retournez sur le bureau de la machine virtuelle invitée (Windows 11), puis ouvrez PowerShell en mode administrateur :

Cliquez sur Oui pour confirmer votre choix :

Saisissez le script suivant dans la fenêtre PowerShell. Celui-ci a pour but de générer un fichier CSV contenant le Hash de notre machine virtuelle invitée (Windows 11) :

New-Item -Type Directory -Path "C:\HWID"
Set-Location C:\HWID
Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned
Install-Script -Name Get-WindowsAutopilotInfo -Force
$env:Path += ";C:\Program Files\WindowsPowerShell\Scripts"
Get-WindowsAutopilotInfo -OutputFile AutopilotHWID.csv

Pour cela, utilisez la fonction suivante dans la connexion Hyper-V afin de faciliter le copier // coller entre la VM hôte (Hyper-V) et la VM invitée (Windows 11) :

Au besoin, utilisez Notepad pour vérifier le bon fonctionnement du copier // coller :

La commande du script créée le fichier AutopilotHWID.csv, contenant le hash de notre machine virtuelle invitée (Windows 11) :

Retrouvez ce fichier dans l’explorateur de votre machine virtuelle invitée (Windows 11) :

Vérifiez que le contenu du fichier présente bien des informations similaires à l’exemple ci-dessous :

Pour plus de facilité, utilisez la fonction de partage Windows afin de reprendre le contenu du fichier hash vers la machine virtuelle hôte (Hyper-V).

Pour cela, depuis la VM invitée (Windows 11), activez le partage du dossier racine comme ceci :

Cliquez sur le menu suivant :

Activez le partage du dossier :

Copiez le chemin réseau du partage nouvellement activé :

Depuis la machine virtuelle hôte (Hyper-V), coller le chemin réseau dans l’explorateur, puis utilisez les identifiants renseignés lors de la configuration du compte local de la VM invitée (Windows 11) :

Ouvrez le fichier CSV avec Notepad :

Copiez le contenu du fichier puis collez-le sur votre poste local, afin de pouvoir charger le fichier sur le portail Intune :

Enregistrer ce fichier nouvellement créé au format CSV :

De retour sur la machine virtuelle invitée (Windows 11), recherchez dans le menu Démarrer le programme de réinitialisation Windows :

Lancez le programme de réinitialisation de Windows 11 :

Confirmez la suppression de toutes les données personnelles :

Attendez que le traitement prépare l’opération de réinitialisation :

Choisissez la réinstallation depuis une source locale :

Cliquez sur Suivant pour préparer le traitement :

Attendez une seconde fois que le traitement prépare l’opération de réinitialisation :

Cliquez sur Réinitialiser pour lancer le traitement :

Vérifiez que le traitement de réinitialisation s’enclenche bien :

Depuis le portail Intune, accessible à cette adresse, rendez-vous dans la section dédiée à l’import Autopilot de machines Windows :

Cliquez-ici pour importer le fichier CSV contenant le hash de notre machine virtuelle invitée (Windows 11) :

Sélectionnez le fichier CSV, puis cliquer sur Importer :

Une notification de travail en cours doit apparaître :

Environ 30 secondes plus tard, l’importation est terminée avec succès :

Attendez quelques secondes, puis rafraichissez la page afin de retrouver votre machine virtuelle invitée (Windows 11) dans la liste :

Assignez si besoin un utilisateur Azure AD à votre machine de test afin d’améliorer le test de l’expérience Autopilot :

Sur la page d’Azure AD, créez ou utilisez un groupe Azure AD existant, puis ajoutez-y la machine virtuelle importée via Autopilot :

De retour sur le portail Intune, rendez-vous dans le menu suivant pour configurer un profil de déploiement Autopilot :

Configurez à votre guise votre profil de configuration Autopilot, puis assignez ce dernier au groupe Azure AD contenant votre machine virtuelle invitée (Windows 11) :

Quelques minutes plus tard, vérifiez bien la présence de ladite machine dans la section ci-dessous de votre profil Autopilot :

Etape V – Test de la fonction Autopilot

Retournez sur la machine virtuelle invitée (Windows 11) afin de constater l’avancement de la préparation à la réinitialisation de Windows 11 :

Environ 20 minutes plus tard, le processus de préparation à la réinitialisation est maintenant terminé :

La machine va ensuite redémarrer :

Des mises à jour automatiques sont prises en compte :

Le processus de réinitialisation commence enfin :

Celui-ci se poursuit avec la réinstallation de Windows 11 :

Une fois la réinstallation terminée, Windows 11 s’ouvre et affiche une fenêtre vous invitant à vous authentifier avec un compte 365 du tenant concerné.

Veuillez saisir le mot de passe de l’utilisateur :

Attendez quelques instants que Windows 11 récupère les éléments de configuration liés au poste :

Attendez encore afin que les éléments récupérés soit installés sur le poste :

Ce processus peut durer une vingtaine de minutes environ :

Différentes étapes sont alors réalisées, dont le détail est visualisable si besoin :

Après cela, Windows 11 s’ouvre et l’utilisateur peut déjà percevoir les éléments installés par la configuration :

Conclusion

J’espère que cet article vous aura permis de percevoir les avantages et l’intérêt possible grâce à Autopilot. Bien entendu, ce type de déploiement ne pourra pas prendre en compte tous les scénarios et toutes les configurations.

C’est pour cela que, bien souvent, plusieurs méthodes de déploiement sont à envisager afin de couvrir un spectre toujours plus grand sur les besoins des utilisateurs et les exigences de configuration IT.

Défendez votre Business

A l’ère des environnements Cloud ou hybride, la façon dont on consomme la donnée a complètement changé. Maintenant, tout est question de mobilité, d’accessibilité et de collaboration. Mais cette ouverture s’accompagne aussi de risques dont les origines, humaines ou logicielles, sont intrinsèques.

Microsoft, et comme d’autres acteurs du marché, s’efforce depuis plusieurs années d’y remédier via sa suite Microsoft 365 Defender. Dans cet article, nous allons nous intéresser à une licence apparue fin 2021 : Microsoft Defender for Business.

Avant de rentrer dans le vif du sujet, je vous propose de revenir sur plusieurs grands aspects relatifs à la sécurité, dont certains font déjà l’objet d’articles sur ce blog :

A quoi servent les couches de sécurité ?

Quel que soit l’environnement IT, le principe des couches sécurité s’applique.

Comme un oignon, chaque couche de sécurité apporte des mesures, passives ou actives, empêchant ou retardant l’accès à la donnée, élément critique de l’entreprise :

Une architecture Cloud n’échappe pas non plus à cette règle, il est naif de penser que les solutions d’hébergement publics sont toutes à 100% protégées par le fournisseur. Les mesures et l’intelligence dédiée à la sécurité y sont certes plus avancées, mais plusieurs couches nécessiteront obligatoirement votre contribution.

Qu’est-ce que Microsoft 365 Defender ?

Voici comment Microsoft le définit :

Microsoft 365 Defender est une suite de défense d’entreprise pré-et post-violation unifiée qui coordonne en natif la détection, la prévention, les examens et la réponse sur les points de terminaison, les identités, les messages électroniques et les applications pour fournir une protection intégrée contre les attaques sophistiquées.

Microsoft Learn

Pour simplifier au maximum, Microsoft Defender vous propose des services de sécurité dans 4 grands domaines :

Sécurité I – Identités avec Defender for Identity :

Solution de sécurité basée sur le cloud qui tire parti de votre AD local signaux pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organisation.

Sécurité II – Périphériques grâce Defender for Endpoint :

Plateforme unifiée pour la protection préventive, curative, ainsi pour que des méthodes d’investigation et de réponse automatisées sur les postes et les serveurs.

Sécurité III – Applications avec Defender for Cloud Apps et Defender for Office 365 :

Defender pour Office 365 protège votre organisation contre les menaces malveillantes posées par les messages électroniques, les liens (URL) et via les outils de collaboration.

Microsoft Defender for Cloud Apps est une solution multi-SaaS complète qui offre une visibilité approfondie, des contrôles de données forts et une protection renforcée contre les menaces à vos applications cloud.

Sécurité IV – Données avec Microsoft Purview :

Famille de solutions en matière de gouvernance, de risques et de conformité des données qui peuvent aider votre organisation à régir, protéger et gérer l’ensemble de votre patrimoine de données.

Microsoft Azure

La donnée est la valeur la plus importante pour une entreprise. Que celle-ci porte sur des secrets industriels, des informations clients ou des mesures financières, il est toujours nécessaire de l’appréhender selon ces 3 grands principes :

Les données ne sont pas créées de manière égale. Certaines données sont plus sensibles et nécessitent un niveau de protection et de contrôle plus fort que d’autres types.

Quand est-ce que Microsoft 365 Defender for Business rentre en scène ?

Les petites et moyennes entreprises sont-elles-aussi soumises aux mêmes risques que certaines multinationales. La solution gérant la sécurité des postes ne doit surtout pas être dégradée :

Au-delà de toutes les fonctionnalités proposées par cette licence, voici pourquoi je la trouve intéressante pour les SMB dans la gestion de la sécurité des postes et des serveurs :

  • Simplification dans la gestion et dans le processus l’onboarding
  • Intégration avec Microsoft Intune
  • Recommandations de sécurité activées dès le départ
  • Tableau de bord orienté vers l’action aidant à hiérarchiser les tâches
  • Centralisation des environnements avec Microsoft 365 Lighthouse
  • Découverte continue en mode temps réel
  • Intégration dans la licence Microsoft 365 Business Premium
  • Defender for Business servers en add-on

Afin de tester la protection des périphériques grâce à cette licence, je vous propose de créer un environnement de démonstration sur Azure.

Pour cela, nous utiliserons des machines virtuelles en Windows 11 issues d’Azure Virtual Desktop. Ces machines seront alors jointes à Azure AD, Intune, puis Microsoft 365 Defender.

Etape 0 – Rappel des prérequis :

Pour réaliser cet exercice sur Microsoft Defender for Business, il vous faudra disposer de :

  • Un tenant Microsoft
  • Un ou plusieurs licences Microsoft 365 Business Premium
  • Une souscription Azure valide

Etape I – Vérification de l’environnement de départ :

Avant de commencer le déploiement de ressources Azure, consultez les licences présentes sur votre tenant par ce lien :

Consultez également les périphériques déjà chargés dans votre Azure AD par ce lien :

Faites-en également de même avec votre souscription Azure :

Vérifiez la présence des licences dans le portail de Microsoft 365 Defender :

Une fois l’environnement prêt à l’emploi, rendez-vous sur la page du portail Azure pour créer vos ressources de test :

Etape II – Création de l’environnement Azure Virtual Desktop

Commencez par créer un réseau virtuel Azure :

Choisissez un nom et une région Azure à votre environnement :

Une fois la validation passée, lancez la création de votre réseau virtuel :

Quelques secondes plus tard, recherchez le composant Azure Virtual Desktop, puis lancez la création d’un pool d’hôtes :

Renseignez les informations nécessaires, reprenez la même région Azure, puis cliquez sur Suivant :

Ajoutez ou plusieurs machines virtuelles à votre environnement AVD :

Renseignez les informations réseaux :

Choisissez une jointure à Azure Active Directory et activez l’enrôlement à Intune, puis cliquez sur Suivant :

Ajoutez un espace de travail AVD, puis lancez la validation :

Une fois la validation terminée, lancez la création des ressources Azure, puis attendez :

Environ 15 minutes plus tard, constater la bonne création des ressources, puis cliquez-ici :

Modifiez l’option suivante dans les propriétés RDP de votre pool d’hôtes, puis sauvegardez :

Cliquez ensuite sur le groupe d’applications créé par défaut :

Ajoutez ici vos utilisateurs de test présents dans votre Azure AD :

Sélectionnez un ou plusieurs utilisateurs, puis cliquez sur Sélectionner :

Recherchez le groupe de ressources Azure, puis cliquez-ici pour ajouter un rôle RBAC :

Choisissez le rôle suivant, puis passez au second onglet :

Sélectionnez à nouveau les utilisateurs de test AVD :

Retournez sur le portail Azure AD pour constater la bonne apparition des VMs AVD :

Faites la même vérification sur le portail Intune :

Votre environnement IT est enfin prêt. Nous allons maintenant utiliser le portail Defender.

Afin de mettre en route Microsoft Defender for Business, il est nécessaire de commencer par une étape de configuration, côté Intune et côté Defender .

Etape III – Configuration de Microsoft 365 Defender for Business :

Pour cela cliquez-ici pour vous rendre sur le portail Defender, puis lancez le démarrage de la configuration :

Quelques minutes plus tard, cliquez-ici pour démarrer la configuration :

Assignez des utilisateurs de votre tenant aux deux rôles suivants :

  • Administrateur de sécurité : autorisés à gérer les fonctionnalités liées à la sécurité dans les portails Microsoft 365 Defender, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection et Microsoft Purview
  • Lecteur Sécurité : accès en lecture seule au niveau global à la fonctionnalité liée à la sécurité, notamment à toutes les informations dans le portail Microsoft 365 Defender, Azure Active Directory, Identity Protection, Privileged Identity Management, mais également les rapports sur les connexions Azure Active Directory et les journaux d’audit, ainsi que dans le portail de conformité Microsoft Purview.

Cliquez ensuite sur Continuer :

Définissez une ou plusieurs adresses emails afin de recevoir des notifications concernant les incidents et les vulnérabilités :

Choisissiez la méthode d’enrôlement des périphériques à Defender. Dans mon cas, je choisi l’intégration automatique via Intune :

Validez votre configuration si tout est OK pour vous :

Attendez environ 5 minutes pour que Microsoft finalise la configuration :

Le message suivant doit alors apparaître :

Le processus de mise en oeuvre est terminé ! Plutôt rapide non ?

Avant de voir les périphériques apparaitre, profitons-en pour faire le tour de certains paramétrages.

Etape IV – Paramétrages disponibles :

Cliquez-ici pour ouvrir activer la fonctionnalité de Live Response de Defender :

Activez si vous le souhaitez les fonctionnalités encore en préversion, puis cliquer sur Sauvegarder.

Profitez-en pour élargir le périmètre de Defender en permettant aux paramètres de sécurité d’Intune d’être appliqués par Microsoft Defender for Endpoint (MDE) aux appareils qui ne sont pas encore inscrits à Intune :

Configurez également et facilement un filtrage web grâce à un blocage de catégories :

Nommez votre police de filtrage web :

Ajoutez une ou plusieurs catégories à bloquer :

Validez la création en sauvegardant votre police :

Retournez sur le portail pour vérifier la bonne connection entre Intune et Microsoft Defender for Endpoint, validez l’option suivante, puis cliquer sur Sauvegarder :

Retournez sur votre portail Defender pour constater la présence de vos machines AVD.

Note : Il est possible que cela prenne environ 30 minutes pour voir les VMs AVD apparaître.

Comme la configuration de base est terminée et que les VMs sont remontées, nous allons pouvoir tester la bonne remontée des alertes et incidents dans Microsoft 365 Defender.

Etape V – Alerte / incident de test :

Récupérez le script PowerShell disponible sur le portail Defender :

Téléchargez le client Azure Virtual Desktop via cette page Microsoft, installez-le, lancez-le, puis cliquez-ici pour ajouter vos accès AVD de test :

Ajoutez vos 4 utilisateurs de test paramétré pour utiliser AVD :

Renseignez les mots de passe pour chacun d’eux :

Cliquez sur une session AVD et renseignez à nouveau le mot de passe utilisateur :

Acceptez la configuration SSO entre votre Azure AD et votre VM AVD :

Ouvrez le programme de ligne de commande Windows en mode Administrateur :

Renseignez le compte de l’administrateur local saisi dans Azure :

Collez le script récupéré précédemment, puis lancez-le :

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

Quelques minutes plus tard, toujours dans la page de configuration, constatez la validation du test de détection :

Vérifiez la boite de messagerie renseignée lors de la configuration de Microsoft 365 Defender for Business :

Dans la page d’incident, vous devriez voir votre premier cas, issu de votre script de test :

Cliquez dessus, parcourez les différents onglets, puis cliquez ici :

Une fois analysé, changez le statut de votre incident pour le clôturer :

Jusqu’à présent, nous n’avons pas modifié la politique de configuration concernant la sécurité des postes. Comme nos machines virtuelles AVD de test sont présentes dans Intune et dans Microsoft 365 Defender, nous devons choisir le lieu de configuration.

Etape VI – Configuration de polices de sécurité via Defender :

Rappelez-vous dans mon exemple que mon environnement ne contenait aucun poste dans ma console Intune. Je n’avais donc encore rien configuré. Cela ne sera pas forcément le cas dans un environnement déjà en place.

Microsoft recommande la mise en place de la gestion des polices de sécurité via Microsoft Defender 365. Cela rendra l’outil plus performant et facilitera la tâche des personnes spécifiquement dédiées à la sécurité des postes.

Dans le menu suivant, cliquez comme ceci :

Prenez le temps de bien lire l’avertissement de Microsoft :

Validez si vous êtes toujours d’accord avec cette gestion :

Environ une minute plus tard, la configuration des périphériques est disponible sur deux points :

  • Protection Next-Gen
  • Firewall

Celles-ci sont déjà sont déjà configurés et installés sur tous les périphériques. Cliquez sur l’une d’entre-elles pour comprendre sa configuration :

Faites-en de même avec la seconde :

Retournez sur le portail Intune pour constater d’éventuels changements.

Section Antivirus :

Section Firewall :

Section EDR :

Section des profils de configuration :

De retour sur le portail Defender, constatez la bonne application des 2 configurations à vos machines virtuelles Azure Virtual Desktop :

Etape VI – Tests de fonctionnalités de Defender :

Afin de voir comment se comporte Defender for business, je vous conseille d’attendre quelques heures, le temps que toutes les configurations soient bien appliquées aux VMs AVD.

Commencez par le filtrage web en recherchant un jeu sur votre moteur de recherche favori :

Cliquez sur un résultat de la liste :

Environ une seconde plus tard, constatez le blocage par la fenêtre suivante :

Il ne vous reste rien qu’à tester d’autres fonctionnalités depuis le portail Defender !

Etape VII – Quelques fonctions Defender

Comme les fonctionnalités sont nombreuses sur Defender, je trouve intéressant de vous en sélectionner quelques-unes liées aux périphériques et accompagnées de copies d’écran.

  • Incidents & Alertes
  • Tableaux de bord & Analyses
  • Actions sur le périphérique

Incidents & Alertes :

Tableaux de bord & Analyses :

Actions sur le périphérique :

Bloquer un processus considéré comme suspicieux :

Restreindre le lancement d’application non signée :

Lancer un scan antivirus sur le périphérique :

Démarrer une session de Live Response :

Isoler un périphérique du réseau :

Conclusion :

Après seulement quelques temps passé sur le portail de Microsoft 365 Defender, on ne peut que constater la facilité de mise en oeuvre de la solution sur des périphériques. L’intégration avec Intune, Azure AD et les autres mesures de sécurité créé un ensemble cohérent.

On comprend aisément le bénéfice à passer à Microsoft 365 Business Premium.

Cette imbrication permet sans aucun doute une prise en main facile et rapide au sein de nombreuses entreprises SMB.

Voici enfin quelques liens pour vous aider :

Intéressez-vous aux GPOs d’Intune

Intune, ou aussi appelé Microsoft Endpoint Manager, continue son bonhomme de chemin. Microsoft vient d’annoncer il y a peu la possibilité de créer des profils de configuration basés via l’intégration simple et rapide de fichiers ADMX/ADML directement depuis la console Intune.

Est-ce vraiment nouveau ?

Alors non, cela ne l’est pas vraiment, car il était déjà possible sur Intune depuis 2020. Mais de gros progrès ont été fait sur l’interface des GPOs, qui a grandement évolué depuis.

Voici anciennement ce qu’il était possible de faire avant cette évolution :

Comme vous le voyez, l’interface n’était pas encore très adaptée et le travail restait très manuel, voir laborieux.

Dans cet article, nous allons justement tester la nouvelle méthode pour les GPOs et les différentes options possibles grâce à celle-ci.

Pourquoi refaire ce qu’un domaine Active Directory sait déjà très bien faire ?

Microsoft continue sa voie dans la création d’une architecture IT 100% Cloud « allégée » de certains composants historiques, comme les Contrôleurs de domaine.

Prenons l’exemple d’Azure Virtual Desktop et ses machines virtuelles jointes à Azure AD et gérées sous Intune. Microsoft proposera bientôt une solution sans contrôleur de domaine, une fois qu’Azure AD sera en mesure de gérer certains protocoles d’authentification.

Comment fonctionne Intune pour créer des GPOs ?

Intune a la même base qu’un domaine Active Directory pour créer des configurations GPOs. La configuration de GPOs repose toujours sur le couple de fichiers (ADMX / ADML).

Ces fichiers doivent donc être importés dans la console Intune, pour créer par la suite un profil de configuration de type Modèle administratif.

Afin d’en savoir un peu plus, je vous propose ce petit exercice, basé sur une GPO dédiée à Mozilla Firefox.

Rappel des prérequis :

Pour réaliser cet exercice Intune, il vous faudra disposer de :

  • Un tenant Microsoft
  • Une ou des licences Intune
  • Un ou des postes Windows 10/11 de test :

Comme je ne dispose pas de postes de test, j’ai décidé de créer plusieurs machines virtuelles sur Azure, via le service Azure Virtual Desktop. Ces machines AVD sont de type individuel et sont attribuées à plusieurs utilisateurs Cloud provenant d’un tenant CDX.

Lors de la création de cet environnement AVD, j’ai spécifié que les machines virtuelles soit gérées via Intune. Je retrouve d’ailleurs cette information dans Azure AD :

Mais également dans la console Intune de mon tenant :

Etape I – Déployer Mozilla Firefox sur les machines de test :

Avant de pouvoir configurer une GPO depuis la console Intune, il est nécessaire d’installer une application en relations avec celle-ci. J’ai donc choisi Mozilla Firefox pour servir d’application de test.

Comme mes machines virtuelles AVD proviennent d’une image Windows 11 provisionnée par Microsoft, Mozilla Firefox n’y est pas installé par défaut.

Pour l’installer, rendez vous dans la console Intune, puis cliquez sur le menu Applications :

Cliquez ici pour ajouter votre nouvelle application Firefox :

Sélectionnez le type Nouvel Microsoft Store, puis continuez :

Recherchez l’application Firefox, puis continuez :

Cochez l’option ci-dessous, puis passez sur l’onglet Suivant :

Choisissez l’assignation qui vous convient, puis continuez :

Lancez la création de l’application :

Attendez une bonne dizaine de minutes, puis constatez, toujours dans le menu Applications, la bonne installation de Mozilla Firefox sur une ou plusieurs machines de test :

Connectez-vous sur une machine de test avec un utilisateur du tenant pour constater la bonne apparition de l’application Mozilla Firefox dans le menu Démarrer :

Ouvrez l’application Firefox, terminez sa configuration, puis constatez l’absence de configuration particulière :

Etape II – Importez la configuration ADMX :

Avant de pouvoir configurer des polices Firefox depuis la console Intune, il est nécessaire d’importer dans celle-ci le modèle ADMX. Ce dernier est accompagné du fichier ADML, utilisé pour la traduction dans une langue locale.

Mozilla met à disposition les fichiers ADMX/ADML sur leur page GitHub, disponible juste ici.

Téléchargez le fichier ZIP disponible sur cette page, ou via ce lien direct juste :

Lancez l’extraction des fichiers sur votre poste :

Dans le dossier issu de l’extraction de l’archive ZIP, constatez la présence pour Firefox du fichier ADMX :

Mais également du fichier ADML dans le sous-dossier de langue :

Vous noterez la présence deux autres fichiers, appelés aussi dépendances :

  • mozilla.admx
  • mozilla.adml

Ces deux dépendances sont nécessaires pour la configuration de Firefox. L’importation de fichiers Firefox avant ceux de Mozilla provoqueront une erreur Intune :

Retournez sur votre console Intune pour importer les deux fichiers Mozilla :

Cliquez sur Importer :

Sélectionnez les deux fichiers Mozilla, puis cliquez sur Suivant :

Cliquez ici pour démarrer l’importation :

Environ deux minutes et un rafraichissement plus tard, l’importation est réussie :

Recommencez la même opération avec les fichiers de configuration Firefox :

Environ deux minutes et un rafraichissement plus tard, la seconde importation est elle aussi réussie :

Etape II – Création du profil de configuration pour Firefox :

Intune est maintenant prêt pour la configuration de Firefox sur les postes de test. Il ne nous reste qu’à créer le profil de configuration, de type profil administratif, pour Firefox.

Pour cela, créez un nouveau profil comme ceci :

Donnez-lui un nom, puis cliquez sur Suivant :

Dans la section Configuration de l’ordinateur, recherchez le mot home, puis cliquez sur le résultat suivant :

Configurez la police avec une URL de votre choix, puis cliquez sur OK :

Cliquez sur Suivant :

Cliquez encore sur Suivant :

Choisissez l’assignation qui vous convient, puis continuez :

Lancez la création de la police :

Rafraichissez la page pour voir apparaître la nouvelle police dédiée à Mozilla Firefox :

Cliquez dessus et attendez son déploiement sur les machines de test :

Quelques minutes plus tard, les machines virtuelles reçoivent la police de configuration :

Etape III – Test de la GPO Firefox créée via Intune :

Retournez sur une machine de test, puis lancez Mozilla Firefox :

Constatez l’ouverture immédiate de la page de démarrage configurée dans votre GPO Intune :

Conclusion

Cette avancée ne semble pas extraordinaire, et pourtant, elle l’est ! Cet exercice montre avant tout la simplification du processus de création de GPOs via la console Intune, plébiscitée dans un grand nombre d’environnements Cloud. Nul doute que d’autres avancées sont encore dans les cartons de Microsoft pour Intune.

Testez facilement Windows 365 en 2023

Windows 365 est une solution de Cloud PC proposée par Microsoft et hébergée sur Azure. Très rapide à déployer, cette solution s’appuie sur la même technologie qu’Azure Virtual Desktop. Elle ne demande pas à savoir maitriser Azure et le grand nombre de ses services. Windows 365 a officiellement été lancé en août 2021. J’avais déjà écrit un article sur le sujet à ses débuts, car des licences d’essai étaient disponibles durant ses premiers jours.

Depuis cette date, j’avais laissé ce sujet de côté car l’achat de licences payantes n’était pas une priorité pour des tests très occasionnels, malgré les nombreuses évolutions. Microsoft propose bien une démo interactive de son produit Windows 365, mais elle est avant tout destinée aux utilisateurs finaux.

Dans cet article, nous allons tester ensemble une méthode de provisionnement gratuite de licences Windows 365 de démonstration. Le but n’est pas de refaire ce précédent article, mais de revoir les étapes obligatoires et de constater les éventuels changements depuis 2021.

Connaissiez-vous Microsoft Customer Digital Experiences ?

Un PowerPoint Microsoft est à disposition en libre accès juste ici.

CDX est une plate-forme de tests des produits Cloud de Microsoft. Elle est mise à disposition des employées Microsoft et aux partenaires, mais aussi aux MVPs. La définition de la plate-forme CDX parle d’elle-même :

Un portefeuille d’expériences numériques immersives pour présenter la technologie et les produits Microsoft avec une interaction pratique, orchestrées par les vendeurs, partenaires ou spécialistes du marketing de Microsoft. Découvrez comment utiliser cet outil et mieux comprendre les expériences proposées.

Microsoft

Qui peut accéder à cette plateforme ?

Comme annoncé plus haut, l’accès à CDX est accordé aux employés Microsoft et aux partenaires. Les scénarios (tenants de test) sont potentiellement limités à certains contenus spécifiques, en fonction de votre rôle ou de votre appartenance à une organisation.

Dans quel cadre peut-on s’en servir ?

Microsoft rappelle bien dans les usages que les droits d’utilisations de CDX sont limités :

  • Lorsque vous accédez pour la première fois au CDX, les conditions d’utilisation du site vous sont présentées. Il est important de lire et de comprendre ces conditions.
  • Les ressources CDX sont destinées aux démonstrations de produits Microsoft aux clients ou aux activités d’auto-apprentissage.
  • Les ressources CDX ne doivent PAS être utilisées pour des tests, des preuves de concept, des cours de formation, le développement d’applications tierces, des ventes ou des essais de produits.
  • L’utilisation par les locataires est contrôlée et toute violation peut entraîner la perte immédiate de l’accès à vos locataires et au CDX.

Aucun souci pour vous en servir lors de vos rendez-vous démos chez vos clients, ou si vous souhaitez perfectionner vos connaissances sur des produits Microsoft, comme je le fais ici.

En revanche, ne prenez pas le risque de vous en servir pour faire faire un POC ou pour donner un cours, officiel Microsoft ou non, avec des accès pour vos étudiants.

Et Windows 365 dans tout ça ?

Cet article porte bien Windows 365, un collègue récemment m’a fait remarquer l’apparition d’un nouveau scénario disponible depuis la plateforme CDX : Windows 365 Enterprise. Nous allons donc voir toutes les étapes ensemble.

Etape I – Création du tenant avec licences Windows 365 :

Autrement dit, un simple clic sur ce scenario CDX provisionne un nouveau tenant, accompagné de licences Windows 365. Ce fonctionnement est idéal pour tester les Cloud PC de Microsoft ou pour simplement apprendre à les configurer.

Cliquez sur le bouton bleu ci-dessous pour initier la création du nouveau tenant :

Comme pour chaque nouveauté Microsoft, vous pourriez être bloqué par une forte demande :

Je ne peux vous conseiller que de réessayer plus tard ????.
L’autre option reste encore de prendre une licence Windows 365 avec un engagement mensuel.

Validez les conditions d’utilisation de CDX :

Attendez quelques minutes que le nouvel environnement 365 se provisionne :

Constatez la présence des identifiants de l’administrateur de votre nouveau tenant de test :

Pour ne pas vous mélanger avec votre tenant 365 habituel, ouvrez un nouveau navigateur en mode privé, puis rendez sur la console d’administration de 365.

Constatez la présence de deux licences non assignées de Windows 365 :

L’étape suivante va consister à créer votre premier Cloud PC sur un utilisateur de tenant de test.

Etape II – Assignez votre licence Windows 365 :

Retournez sur la liste des utilisateurs du tenant de test et assignez une des 2 licences Windows 365 :

De plus, ajoutez votre utilisateur de test dans le groupe Windows365 Enterprise :

La première étape concernant la partie licence est terminé. Le processus d’assignation de Windows 365 aux utilisateurs est très simple. L’achat de licence Windows 365 est lui aussi très simplifié et peut s’effectuer par ce même portail.

Etape III – Terminez le provisionnement de votre Cloud PC :

La suite se passe sur le portail Intune, ouvrez un nouvel onglet de votre navigateur privé avec ce lien, puis rendez-vous sur la section dédiée à Windows 365 :

Jusqu’à présent, les Clouds PC ne sont pas encore provisionnés. Pour cela, cliquez ici pour créer une police de provisionnement :

Renseignez les champs suivants :

Comme vous le voyez, il est maintenant possible de provisionner des Cloud PCs Enterprise joint directement à Azure AD. En 2021, cette option n’était disponible que pour les Cloud PCs de type Business.

Choisissez l’image correspondante à votre besoin de test (galerie Microsoft ou custom image) :

Choisissez les options de langage et si besoin activez Windows Autopatch :

Assignez votre police à Windows 365 à votre groupe de sécurité Windows365 Enterprise :

Validez la création de votre police :

Retournez sur la liste de Cloud PCs, puis constatez le changement de status :

Le traitement de provisionnement est variable.
Comptez environ 30 minutes.

En attendant, ouvrez un autre navigateur internet, également en mode privé, puis rendez-vous sur la page internet suivante : https://windows365.microsoft.com/

Renseignez-y les identifiants de votre utilisateur de test :

Comme sur Intune, attendez ici la fin du provisionnement pour continuer :

26 minutes plus tard, votre premier Cloud PC est enfin provisionné :

La configuration de base est terminée ! Il ne reste qu’à nous connecter au Cloud PC et parcourir quelques fonctions intéressantes.

Etape IV – Connexion à votre Cloud PC :

Retournez sur le navigateur web de votre utilisateur de test :

Ouvrez le Cloud PC :

Un nouvel onglet s’ouvre et vous propose les choix suivants :

Autorisez la fonction SSO apparue dans une autre nouvelle fenêtre :

Attendez encore quelques minutes :

Et voilà, tout y est ! Reconnaissons que ce premier SKU Windows 365 d’assigné n’est pas le plus véloce. Les 4 Go de mémoire risquent de faire rapidement défaut par la suite :

Un petit tour de certaines fonctionnalités très pratiques ne nous fera pas de mal ????.

Etape V – Transfert de fichiers dans les deux sens :

Le transfert de fichiers entre le poste local et le Cloud PC est un besoin fréquent et souvent utilisés dans les deux sens. Vous pourriez utiliser l’espace de stockage OneDrive ou la messagerie électronique, mais Windows 365 propose aussi une fonction pré-intégrée.

Le transfert de fichier vers le Cloud PC s’effectue depuis l’icône dans la barre du haut :

Le fichier téléversé se retrouve dans le dossier suivant de votre Cloud PC :

\\tsclient\Windows365 virtual drive\Uploads

Le transfert de fichier depuis le Cloud PC s’effectue via la dépose de fichiers dans le dossier suivant de votre Cloud PC :

\\tsclient\Windows365 virtual drive\Downloads

La notification suivante apparaît dans le navigateur internet de votre utilisateur test :

Le fichier est alors téléchargé localement :

Pour information, le Cloud PC est déjà préconfiguré nativement avec OneDrive :

Etape VI – Fonctions de dépannages :

Certaines fonctions de dépannage sont directement accessibles pour l’utilisateur Cloud PC depuis son portail Windows 365 :

Quand le problème ou l’action voulue est plus complexe, il est nécessaire de passer par portail d’Intune, comme par exemple pour :

  • Créer et utiliser un point de restauration
  • Reprovisionner le Cloud PC
  • Redimensionner le Cloud PC

Par exemple, la création d’un point de restauration Windows 365 est possible par le menu suivant :

Confirmez la création du point de restauration manuel :

Attendez quelques minutes :

Une fois le traitement snapshot terminé, cliquez ici pour déclencher la restauration sur le Cloud PC actuel :

La restauration commence et l’utilisation se retrouve déconnecté de son Cloud PC :

La mention de restauration figure également sur son Cloud PC, et l’invite à patienter :

L’information est aussi indiquée sur la console Intune :

Une fois la restauration terminée, l’utilisateur peut s’y reconnecter :

La connexion depuis le navigateur internet en HTML5 est assez facile est déjà testée. L’utilisation d’un client dédié améliore la performance, la compatibilité et l’exploitation de ressources locales USB ou autres.

Etape VII – Connexions depuis d’autres clients :

Sur la page web Windows 365 de l’utilisateur, Microsoft met à disposition une liste de clients compatible avec Windows 365 selon votre OS :

Etant sur Windows 11 et utilisant régulièrement le service Azure Virtual Desktop, je vais tester ce dernier :

Ajoutez l’accès à votre Cloud PC par le bouton de souscription :

Renseignez les identifiants de votre utilisateur de test :

Cliquez droit sur l’icône du Cloud PC pour configurer le nombre d’écrans utilisés lors de la session de bureau à distance :

Conclusion

Ce nouveau scénario CDX dédié à Windows 365 apportera une meilleure compréhension du potentiel du Cloud PC de Microsoft, aussi bien pour les équipes IT et que pour les clients finaux. Cette approche facilitera l’achat de licences et le déploiement de Cloud PCs dans beaucoup de scénarios.

D’autres articles devraient suivront pour continuer à tester ensemble Windows 365 ????.

Optimisez votre Azure : 2/4 – La sécurité de vos données

La donnée est une valeur critique pour tout entreprise. L’impact des ransomwares entraînant des blocages complets de productivité n’est plus à démontrer. Les attaques contre des hôpitaux montre l’absence de moralité et le large spectre pour les attaquants. De plus, le respect des normes (ex. respect de la vie privée) ou en regard avec le secteur concerné élève toujours plus haut le besoin de maîtriser la sécurité des données.

A la suite de renommages de produits, Microsoft Purview devient le centre névralgique pour la gouvernance, la protection et la gestion des données. Il s’agit donc d’une fusion entre Azure Purview et Microsoft 365 Compliance.

Microsoft Purview (anciennement Azure Purview)

Microsoft Purview est une solution unifiée de gouvernance des données qui vous aide à gérer et à gouverner vos données sur site, multicloud et SaaS (Software-as-a-Service). Créez facilement une carte holistique et actualisée de votre paysage de données avec la découverte automatisée de données, la classification des données sensibles et le lignage des données de bout en bout. Permettez aux consommateurs de données d’accéder à une gestion des données précieuse et fiable.

Azure Doc

La donnée est une des valeurs les plus importantes pour une entreprise. Que celle-ci porte sur des secrets industriels, des informations clients ou des mesures financières, il est toujours nécessaire de l’appréhender selon ces 3 actions :

  • Connaissez vos données : toutes les données n’ont pas le même impact et ne doivent donc pas être protégées de la même manière. La connaissance des données à protéger apporte une meilleure connaissance des risques possibles. Par exemple, des données personnelles peuvent être chiffrées et/ou supprimées pour le respect de certaines normes.
  • Protégez vos données : Une fois la donnée identifiée, différentes mesures de protection sont applicables à celle-ci. Un autre exemple est la restriction d’accès. Tous les salariés d’une entreprise n’ont pas besoin de voir toutes les données de celle-ci. La gestion granulaire des droits et la vérification régulière de leur utilité apporte un gage de sécurité supplémentaire.
  • Prévenez la fuite de données : La donnée doit en accès restreint. Un partage interne / externe de données sensibles doit être empêché ou alerté. L’utilisation de labels de sensibilité est une bonne méthode pour y appliquer des règles particulières selon le type de données.

Cycle de vie de la donnée

Les données ne sont pas créées de manière égale. Certaines données sont plus sensibles et nécessitent un niveau de protection et de contrôle plus fort que d’autres types.

Les types d’informations à protéger dépendent de vos exigences de sécurité internes et de vos obligations de conformité.

Chaque organisation peut avoir des normes de gouvernance ou de conformité différentes, il est important de permettre la personnalisation des politiques de classification.

Finalement, les fonctions de classification des données vous aident à mieux comprendre ce qui est utilisé, afin que vous puissiez mettre en place les bonnes politiques pour les protéger et les gérer.

Protection de la donnée

L’étiquetage de la donnée est indispensable pour comprendre d’où elle vient et où elle part, la protéger quel que soit l’endroit où elle se trouve durant le transit, la conserver et la supprimer selon chaque finalité. Pour cela, l’affectation d’étiquettes de sensibilité, des étiquettes de conservation et une classification par type d’information sensible.

Il existe plusieurs façons de procéder à la découverte, à l’évaluation et au marquage, mais le résultat attendu est de voir un très grand nombre de documents et de courriels marqués et classés avec des étiquettes.

Après avoir appliqué vos étiquettes de conservation et de sensibilité, il est possible de voir comment les étiquettes sont utilisées dans votre tenant et ce qui est fait avec ces éléments, comme par exemple :

  • Le nombre d’éléments qui ont été classés comme un type d’information sensible
  • Les étiquettes de sensibilité les plus appliquées
  • Les étiquettes de conservation les plus appliquées
  • Un résumé des activités que les utilisateurs effectuent sur votre contenu sensible
  • Les emplacements de vos données sensibles et conservées

Compliance Secure Score

Comme pour Defender for Cloud, Microsoft apporte un score de sécurité dédié au Compliance Manager. Ce score est le reflet des actions d’amélioration recommandées par Microsoft. Votre score peut vous aider à comprendre votre situation actuelle en matière de conformité. Il peut également vous aider à prioriser les actions en fonction de leur potentiel de réduction des risques.

Rappel des chapitres de l’article

Etape II : La sécurité de vos identités
Etape III : La sécurité de vos périphériques
Etape IV : La sécurité de votre Azure
Etape V : La sécurité de vos réseaux
Etape VI : La sécurité de vos applications
Etape VII : La sécurité de vos données
Etape VIII : Certifications de Sécurité Microsoft

Optimisez votre Azure : 2/4 – La sécurité de vos applications

Comme le montrait le schéma sur la défense en profondeur, la couche applicative est le dernier rempart avec l’accès à la donnée. Un contrôle est donc nécessaire sur vos applications, que celles soient locales ou hébergées dans le Cloud.

Là encore, le modèle Zéro Trust aide les organisations à s’assurer que leurs applications et les données qu’elles contiennent sont protégées par :

  • Application de contrôles et technologies pour découvrir l’informatique fantôme.
  • Garantir les autorisations appropriées dans l’application.
  • Limitation de l’accès en fonction de l’analytique en temps réel.
  • Surveillance du comportement anormal.
  • Contrôle des actions de l’utilisateur.
  • Validation des options de configuration sécurisée.

Microsoft propose un guide pour parvenir à déployer Zéro Trust au sein du parc d’applications. La mise en oeuvre doit être graduelle et progressive pour arriver aux points suivants :

  • Toutes les applications sont disponibles en utilisant l’accès du moindre privilège avec une vérification continue.
  • Une maîtrise dynamique est en place pour toutes les applications avec un contrôle en cours de session.

Defender for Cloud App (Cloud App Security)

De nos jours, il ne se passe pas une heure sans que nous utilisions des applications SaaS pour nous outils critiques. La sécurité passe donc par la protection de ces dernières.

Ajouté à cela, il est très fréquent que certaines applications SaaS soient utilisées sans faire partie du paysage IT de l’entreprise. Certaines de ces applications peuvent présenter des risques majeurs, du point de vue des cyberattaques, tandis que d’autres ne sont tout simplement pas conformes aux réglementations que votre entreprise doit respecter.

Microsoft Cloud App Security est une solution bien conçue pour résoudre ces problèmes. Elle recueille et rend compte de toutes les informations essentielles dont les administrateurs informatiques ont besoin pour protéger les ressources Cloud d’une entreprise contre les attaques externes et les accidents internes.

Microsoft Defender pour les applications cloud est un répartiteur de sécurité d’accès cloud (CASB) qui prend en charge différents modes de déploiement, y compris la collecte de journaux, les connecteurs API et un proxy inverse. Il offre une grande visibilité, un contrôle des déplacements des données, et des analyses sophistiquées pour identifier et combattre les cybermenaces sur l’ensemble de vos services cloud Microsoft et tiers.

Microsoft Doc

Grâce à Defender for Cloud App, certaines tâches sont facilités :

  • Atténuer le risque lié au shadow IT.
  • Détecter les menaces de cybersécurité.
  • Assurer la conformité.
  • Sécuriser les informations sensibles.

Rappel des chapitres de l’article

Etape II : La sécurité de vos identités
Etape III : La sécurité de vos périphériques
Etape IV : La sécurité de votre Azure
Etape V : La sécurité de vos réseaux
Etape VI : La sécurité de vos applications
Etape VII : La sécurité de vos données
Etape VIII : Certifications de Sécurité Microsoft

Un esprit zen sur les licences Microsoft 365

Beaucoup d’entre-nous sommes régulièrement confrontés à l’univers des licences du Cloud Microsoft dans le cadre de projets IT. Bien souvent, l’adjectif de jungle revient quand on aborde ce point.

Microsoft ne nous facilite pas la tâche non plus par les évolutions constantes de leurs programmes (ex. CSP / NCE), de leurs familles de produits, de leur nom, de leurs services mais aussi de leur prix !

Cela paraît surestimé mais il s’agit ici d’un vrai travail de recherche et de maintien à jour des connaissances, en permanence. Cet effort n’est pas uniquement valable pour Microsoft, mais il touche bien l’ensemble des éditeurs de solutions professionnelles.

Pour m’en sortir, j’utilise toutes les semaines un site, et pourtant je n’y avais pas encore fait le moindre article dessus …

Un grand merci à Aaron Dinnage pour son précieux travail sur le monde des licences du Cloud Microsoft. L’adresse de son site est donc https://m365maps.com/

De prime abord assez austère, on remarque très vite que son site est organisé par familles de licence et cela rend la recherche rapide et ciblée. La grande idée de son site repose sur sa facilité de comparaison entre les plans de licence d’un même produit.

Fonction I : Affichage des services disponibles sur une licence Microsoft

Prenons en premier exemple la licence Microsoft 365 Business Basic. Voici la page officielle de Microsoft concernant cette licence :

Et maintenant voici la page d’informations que propose Aaron sur son site pour ce même produit :

A ce stade, je ne pense pas qu’un commentaire soit nécessaire quant à la différence d’informations apprises. Pour aller plus loin, chaque icône représentant un service dispose d’un lien web vers la documentation Microsoft.

Voici la page web ouverte quand je clique sur SharePoint Online Plan 1 :

Notre second exemple est la licence Microsoft 365 Business Premium. Cette dernière est très intéressante pour beaucoup de projets. Microsoft y combine un grand nombre de services pour Office 365, la sécurité ou encore des fonctionnalités additionnelles pour le poste Windows.

Voici la page officielle de Microsoft :

Et voici la page web disponible sur le site d’Aaron pour cette même licence :

Même certaines fonctionnalités en préversion y sont affichées.

Evidement, cela ne ferme pas non plus systématiquement la porte à des lectures additionnelles sur la documentation Microsoft, comme par exemple :

Fonction II : Comparaison des plans de licences

Un second besoin lui aussi régulier porte sur la comparaison des plans de licence entre eux. Prenons l’exemple des plans de licence disponibles pour Azure Active Directory.

Là encore, voici la page web la plus lisible que j’ai trouvée sur le site de Microsoft :

Cette page est déjà pratique, mais ce n’est pas toujours aussi clair pour toutes les autres produits.

Et voici la page dédiée à Azure AD qu’Aaron a mise sur son site :

On est d’accord, seules les licences payantes y figurent.
Mais aucun doute que cette représentation graphique est plus efficace !

Notre second exemple porte sur les différents plans de licence disponibles pour Microsoft 365 Business : Basic / Standard / Premium.

Dans ce second exemple, Microsoft propose aussi des tableaux intéressants, mais pouvant manquer de synthèse entre les plans et pouvant influer sur la décision d’achat :

Pour ma part, je trouve que la fonction Full, disponible sur le site d’Aaron, apporte une meilleure clarté :

La couleur plus claire, visible sur plusieurs cases, montre les différences avec les plans inférieurs.

Il devient alors beaucoup plus évident de comprendre rapidement les différences entre les plans.

Fonction III : Mise à disposition d’une matrice

Dans d’autres cas, l’utilisation d’une matrice est pratique pour comparer plusieurs familles de produits. Voici en exemple de ce qui est disponible pour la famille Microsoft 365 :

Côté Microsoft :

Côté Aaron :

Le but ici n’est pas de comparer celui qui en affichera le plus, mais bien de disposer d’une information fiable, mise régulièrement à jour et disponible facilement.

Conclusion

En quelques mots, un très bel outil qui me simplifie la vie ???? Quoi de mieux dans la vie que cela pour rester zen au travail ?

Microsoft New Commerce Experience (NCE)

Aujourd’hui, je m’écarte un peu d’Azure pour vous parler d’un changement global chez Microsoft, appelé New Commerce Expérience et impactant la vente de leurs services Cloud. Le but de cet article est de vous rappeler quelques notions clefs et les principaux impacts de NCE.

Microsoft a introduit une nouvelle expérience de commerce pour les clients achetant et gérant leurs licences Cloud dans le cadre de son programme CSP (Cloud Solution Provider). Il s’agit d’une démarche que Microsoft déjà a commencée en 2019, et est toujours en cours en ce début d’année 2022.

Qu’est-ce que le programme CSP ?

Pour faire simple, Microsoft travaille de différentes manières pour vendre leurs produits aux clients finaux. Dans le schéma ci-dessous, on retrouve une liste de programmes existants pour acquérir des droits de licence sur des produits Microsoft :

Le programme CSP est conçu pour permettre aux partenaires de revendre les services Cloud de Microsoft. L’objectif du programme de CSP est donc de créer un modèle de revendeurs pour fournir des services aux petites et moyennes entreprises (PME). Deux modèles sont possibles via le programme CSP : indirect ou indirect.

Les partenaires directs gèrent eux-mêmes tous les aspects de la relation avec le client
Dans le modèle indirect, les fournisseurs indirects soutiennent les revendeurs indirects qui, à leur tour, vendent, et soutiennent les clients.

Qu’est-ce que la New Commerce Experience ?

L’image affichée plus haut met en évidence la complexité et la multitude de scénarios possibles pour acheter des licences de produits Microsoft. Il était donc temps de simplifier cette approche, comme le veut la New Commerce Experience :

Cette simplification d’achat met aussi en avant l’utilisation d’une seule plateforme centrale pour les partenaires Microsoft, le Partner Center :

Pourquoi parler de NCE maintenant ?

Let's simplify the changes in the new commerce experience - US Partner  Community Blog - Microsoft

Comme indiqué dans l’image ci-dessus, Microsoft a commencé le lancement d’offres NCE par Azure, et a rajouté l’achat de licences perpétuelles dans le programme CSP. Dans le cas d’Azure, la bascule vers NCE (appelé aussi Azure Plan) a permis, par exemple, l’activation du Cost Management :

Microsoft s’attaque donc maintenant aux licences associées aux utilisateurs :

  • Microsoft 365
  • Dynamics 365
  • Power Platform
  • Windows 365

Tandis que le bouleversement de la NCE fut mineur pour les utilisateurs d’Azure, cela est moins vrai pour Modern Work Place. En effet les règles du jeu des licences utilisateurs changent grandement avec NCE. Nous en reparlerons un peu plus loin dans cette article.

Quel est le planning NCE pour Modern Work Place ?

Le programme CSP repose donc sur le planning NCE suivant pour 2022. Comme on peut le voir Microsoft concentre ses évolutions sur 3 axes :

  • Mise en place de promotions incitatives NCE jusqu’à juin 2022
  • Renforcement des règles liées à un achat NCE en mars et juillet 2022
  • Réduction des marges arrières pour les souscriptions non transférées sur NCE en 2023

Pourquoi Microsoft augmente ses prix ?

Depuis le lancement de 365, Microsoft a rajouté plus de 24 applications (Microsoft Teams, Power Apps, Power BI, Power Automate, Stream, Planner, Visio, OneDrive, Yammer et Whiteboard …), mais aussi un nombre incalculable de nouvelles fonctionnalités.

Le 1er mars 2022, Microsoft appliquera donc une hausse de prix sur les licences suivantes :

  • Microsoft 365 Business Basic (de 5 à 6 $)
  • Microsoft 365 Business Premium (de 20 à 22 $)
  • Office 365 E1 (de 8 à 10 $)
  • Office 365 E3 (de 20 à 23 $)
  • Office 365 E5 (de 35 à 38 $)
  • Microsoft 365 E3 (de 32 à 36 $)

Nous n’avons pas encore les chiffres précis en Euros ou en CHF, je ne manquerai pas de les rajouter dès que cela sera disponible.

Quelle est la meilleure période pour migrer les licences vers NCE ?

Maintenant ! Aucunement l’idée de vous faire faire un achat précipité, mais plusieurs arguments me permettent d’en arriver à cette conclusion :

  • La promotion NCE sur les différents engagements (mensuel / annuel) s’arrête au 1er juillet 2022
  • Le blocage du prix sur la période d’engagement permet de reporter la hausse de certains produits 365 prévue pour mars 2022
  • Les différents verrous prévus par Microsoft sur les achats en 2022 risque de compliquer la gestion et le renouvellement des licences en fonction de l’évolution des besoins.

Tout est donc rose avec NCE ?

Historiquement :

Dans le cadre du programme CSP, Microsoft offrait aux partenaires une très grande souplesse dans la gestion des licences durant la période d’engagement. Cette flexibilité était très appréciée car le provisionnement des licences utilisateurs suivait alors de près l’évolution des besoins du client.

Avec NCE :

Microsoft laisse une fenêtre de 72 heures après l’achat pour annuler un abonnement NCE. Si l’abonnement n’est pas annulé dans cette fenêtre de 72 heures, le client devra payer le reste de la durée de l’abonnement. Autrement dit : un mois, un an, ou même 3 ans !

Si un client souhaite réduire le nombre de licences, l’abonnement doit être modifié dans les 72 heures de la date d’anniversaire. Si cette fenêtre est dépassée, la modification à la baisse ne sera prise en compte qu’au prochain anniversaire. Autrement dit : le mois prochain, l’année prochaine, ou même dans 3 ans !

En revanche, les clients peuvent toujours augmenter le nombre de sièges et changer la licence pour une autre de niveau supérieur, même après cette période de 72 heures.

On serait alors tenté de prendre toutes les licences sur un abonnement mensuel pour plus de liberté. Ce choix logique est possible, mais le prix pour cet engagement de courte durée est 20% plus cher que pour le même avec un engagement annuel.

Dernière précision, un engagement annuel ou pluriannuel est payable en une seule fois au début de l’engagement, ou tous les mois de ladite période d’engagement.

Peut-on prendre des licences avec engagement mensuel ET annuel ?

C’est aussi possible ! Et cela est même fortement conseillé dans certains secteurs, avec une saisonnalité des besoins informatiques.

Que faut-il retenir sur NCE ?

Voici les principaux points à garder en tête pour bien comprendre les enjeux de NCE :

  • Ce nouveau mode d’achat licence est déjà en place depuis le 10 janvier de cette année
  • La bascule des licences vers NCE est transparente pour les utilisateurs car ce changement n’impacte pas l’assignation
  • La durée d’engagement est un maintenant point majeur dans la décision d’achat. Tant pour le client, que pour le partenaire qui fournit le service
  • Toute baisse du nombre ou changement de licences NCE n’est possible qu’aux dates anniversaires
  • Les partenaires restent redevables des licences NCE prises auprès de Microsoft, même si leurs clients ne sont plus en capacité d’honorer les paiements
  • Les licences mensuelles sont fortement conseillées pour les besoins ponctuels
  • La fenêtre de 72 heures est la SEULE porte de sortie d’un engagement NCE avant le terme d’engagement

Conclusion

Pas de panique ! Bien que ce changement bouleverse nos habitudes d’achat chez Microsoft, il ne pas oublier que cela est déjà la norme dans le monde des licences par abonnement.

Mon dernier conseil : en tant que partenaire, assurez-vous de communiquer le plus en amont possible avec vos clients, pour que ces derniers considèrent les meilleures options possibles.

Robotisez vos tâches grâce à Power Automate

Depuis quelques temps, je souhaitais écrire un article sur Power Automate. Un récent besoin m’a permis de me remettre sur le sujet, et donc de vous préparer quelque chose. Pour rappel, Power Automate fait partie de la grande famille Power Platform.

Dans cet article, nous allons nous focaliser sur l’automatiseur et faire un essai, étape par étape, de la création d’un flux de travail (workflow) simple.

Qu’est-ce que Power Automate ?

Nous avons tous un ou plusieurs systèmes informatiques pour stocker de la donnée. Dans certains cas, cette donnée ne transite pas de manière automatisée (API, Port d’écoute, …) entre les systèmes. Pour y parvenir, elle nécessite donc un petit coup de pouce grâce à des actions humaines. L’exemple simple est la mise à jour dans de fichiers ou encore le classement de pièces jointes.

Rationalisez les tâches répétitives et les processus sans papier avec Microsoft Power Automate – afin de pouvoir concentrer votre attention là où elle est la plus nécessaire.

Voici le crédo pour utiliser de l’automatiseur par : Microsoft

La raison avancée par Microsoft démontre bien le principal objectif de l’outil : réduire les traitements manuels répétitifs à faible valeur ajoutée.

On s’écarte d’Azure ? Pas tant que ça …

Aucun risque, Power Automate est basé sur Azure Logic Apps. Tous les deux sont des outils d’automatisation de flux :

  • Power Automate offre une expérience conviviale et ciblée au sein d’Office 365, qui permet aux utilisateurs finaux de se lancer facilement une fois qu’une licence appropriée leur a été attribuée.
  • Azure Logic Apps offre la même surface de conception conviviale que Power Automate, avec la possibilité de créer des solutions d’intégration complexes, d’utiliser des outils de développement avancés, DevOps et la surveillance, si nécessaire.

On retrouve donc approximativement les mêmes fonctionnalités. Cela s’explique par le fait que Power Automate est un dérivé d’Azure Logic Apps. Autrement dit, le choix entre les deux outils va se faire selon son orientation métier (utilisateurs / développeur) et le modèle de facturation.

Faut-il être développeur pour Power Automate ?

Comme il est dit juste avant, il n’est pas nécessaire d’être développeur pour commencer à créer son flux sous Power Automate. Eventuellement pour certaines actions très techniques où il faudra effectivement disposer de compétences poussées, ou si un connecteur custom s’avère nécessaire.

Passé ce constat, Microsoft oriente donc son outil Power Automate pour qu’il soit utilisé par des utilisateurs finaux. Autrement dit, les personnes en contact direct avec le besoin et sachant comment y répondre des plus facilement.

Le schéma ci-dessous montre la création d’un flux d’automatisation simple. Sans en rentrer dans les détails, la représentation graphique des évènements facilite grandement l’adoption de l’outil et sa prise en main rapide par une large communauté :

Qu’est qu’un connecteur Power Automate ?

Pour travailler, Power Automate a besoin de connecteurs pour interagir avec la donnée. Power Automate dispose donc à ce jour de plusieurs centaines de connecteurs.

Comme l’indique la documentation Microsoft, un connecteur est un proxy autour d’une API. Concrètement, Power Automate utilise le connecteur pour travailler la donnée ( Lecture / Ecriture / Modification / Suppression) sur un support de stockage éventuellement protégé par une authentification.

Prenons l’exemple de SharePoint Online :

Si je souhaite que mon flux Power Automate accède à de la donnée stockée sur un de mes site SharePoint Online, je vais utiliser le connecteur SharePoint Online mis à disposition :

Pour que la connexion se mette en place, il est nécessaire de s’authentifier avec un compte disposant des droits nécessaires sur le site SharePoint cible. Dans le cadre d’un service Cloud Microsoft, j’utilise donc mon compte Office 365 :

Cette connexion va être utilisée à mon flux pour accéder à la donnée disponible sur SharePoint Online.

Toutes les connexion précédement utilisées dans Power Automate sont aussi recensées ici :

Cela apporte une rapidité et une régularité supplémentaire dans la conception de nouveaux flux Power Automate.

Evidemment, il ne faut pas oublier que ces connexions peuvent aussi rencontrer des blocages en fonction des évolutions de mon environnement Office 365 :

Ce message m’invite à rectifier la connexion à Microsoft Forms, suite à un changement de mot de passe.

Combien coûte Power Automate ?

La question qui fâche, ou pas. Les fonctionnalités de Power Automate font l’objet de plusieurs licences possibles. Pour faire simple :

  • Des fonctionnalités limitées de Power Automate incluses dans les licences Power Apps, Office 365 et Dynamics 365
  • Des fonctionnalités étendues de Power Automate via différentes licences autonomes
Microsoft met aussi à disposition cette FAQ pour aider à choisir la licence correspondant le mieux à vos besoins.

Power Automate via Office 365 :

L’utilisation de Power Automate dans Office 365 est limitée tant pour les déclencheurs que pour les actions. Si le flux n’est pas dans le contexte Office 365 ou s’il doit se connecter à une source de données premium, une licences Power Automate autonome sera alors nécessaire.

Par exemple, si un flux nécessite d’utiliser un connecteur Premium, il sera intéressant d’envisager une des licences Power Automate suivantes :

J’avais trouvé il y a quelques années cet arbre de décision concernant le choix des licences de Power Apps / Power Automate, et qui est pour moi, toujours valable :

Comment créer son premier flux ?

Après toute cette théorie, place à la pratique. Nous allons créer ensemble un flux simple ayant pour but de sauvegarder les pièces reçues par mail sur un compte OneDrive ????.

Etape 0 : Rappel des prérequis

Comme pour chaque déploiement réalisé sur ce blog, des prérequis sont nécessaires avant de pouvoir se concentrer sur Power Automate :

  • Un tenant Microsoft (Azure AD)
  • Une licence utilisateur active et comprenant les services Power Automate for Office 365, OneDrive et Outlook

Pour ma part, je suis parti sur une licence d’essai Microsoft 365 Business Premium comprenant Power Automate for Office 365 :

Merci Aaron pour ton aide ????.

Rendez-vous ensuite sur la page de Power Automate et cliquez sur Créer :

La page de création vous propose de partir depuis un template préconstruit ou depuis une feuille blanche en sélectionnant un déclencheur de départ. Vous commencez à le comprendre, un flux a besoin de départ pour s’exécuter :

  • Flux automatisé : démarre automatiquement en s’appuyant un évènement concernant le Cloud Office 365
  • Flux instantané : principalement utilisé dans le cas d’un déclenchement manuel
  • Flux programmé : s’exécute tout seul et à horaires fixes
  • Flux desktop : permet de créer depuis un poste une automatisation robotique (RPA). Par exemple, une ancienne application installée en local et sur laquelle l’utilisateur effectue des actions souris / clavier

Cliquez sur Email pour trouver celui qui nous intéresse dans les templates, puis cliquez dessus :

Etape I : Configuration des connecteurs

Ce clic vous affiche directement la page des connecteurs liés à ce template. Comme il s’agit peut-être de votre premier essai sur Power Automate, ces derniers seront alors vides :

Renseignez des identifiants avant de passer à l’étape suivante.

La création du flux sera possible une fois que les deux connecteurs auront des identifiants valides. Cliquez sur chacun d’eux pour vous authentifier :

Vous n’êtes pas obligé d’utiliser systématiquement la même identité dans tout votre flux.
Ce choix doit dépendre des autorisations nécessaires et de la sécurité de votre environnement.

Une fois les authentifications passées, cliquez sur Continuer :

Etape II : Configuration du flux

Cela vous affiche alors une représentation graphique et très visuelle de votre nouveau flux. Des de choses restent encore à faire pour que votre flux fonctionne :

Comme annoncé plus haut, un flux Power Automate commence par UN seul déclencheur. Ce dernier se trouve généralement en haut du schéma cartographique :

Notre déclencheur est bien l’arrivée d’un nouveau message électronique sur la boite de réception.

Affichez les options de votre déclencheur pour constater la prise en compte des emails comportant une ou des pièces jointes :

Pas besoin de modifier votre déclencheur. Descendez plus bas dans votre flux pour constater l’étape suivante.

Comme souvent, les choses peuvent évoluer différemment selon certains critères. C’est pour cela que Power Automate propose cette étape intermédiaire, appelée Condition :

Tout simplement, le résultat de cette condition peut être POSITIF ou NEGATIF. En conséquence, deux ensemble SI-OUI et SI-NON sont présents en dessous :

Chacun pourra comporter des actions spécifiques.
Il est possible de réunifier ces deux branches par la suite.

Question : Quelle branche prendra la totalité des emails reçus, si la condition ci-dessus reste à vide ?

Réponse : Le chemin SI-OUI (une condition vide est une condition toujours POSITIVE)

Cliquez sur le chemin de SI-NON pour renseigner un dossier présent dans OneDrive :

Cliquez sur la flèche pour voir le contenu du dossier :

Choisissez le dossier de votre choix en cliquant dessus :

Pensez à créer des dossiers dans OneDrive si besoin.

Faites de même pour la branche SI-OUI :

Etape III : Sauvegarde et test du flux

Et c’est tout pour le moment ! Pensez à Sauvegarder votre flux :

La sauvegarde d’un flux le rend immédiatement opérationnel.
Il est possible de le désactiver sur la page du flux.

Le bouton Contrôle vous permet de vérifier que le flux ne comporte aucune erreur ou paramétrage incomplet.

Le bouton Test vous permet de tester votre flux avant sa mise en production. Cela s’avère très utile pour ne pas dépendre de certains facteurs, comme le temps.

Prenons l’exemple de votre déclencheur, basé la messagerie électronique Outlook Online. Les nouveaux mails vont être pris en compte pour la récupération de pièces jointes. Seulement il y aura toujours un délai ou cycle d’attente entre chaque opération.

Cliquez sur le bouton Test puis sur Manuellement pour démarrer cette phase :

Cela met le déclencheur de votre flux en phase d’écoute active.

Envoyez un mail avec une pièce jointe vers l’adresse mail paramétrée sur le connecteur Outlook.

Une fois le mail reçu, voici ce que vous devriez avoir :

Les ronds verts vous indiquent le chemin parcouru par votre test.

Cliquez sur le bloc Condition pour déplier celui-ci :

Certaines étapes affichent des résultats ou des entrées / sorties.
Informations très pratiques pour comprendre et corriger les étapes du flux.

Retournez sur OneDrive et constatez la présence du fichier joint à votre email dans le dossier SI-OUI :

Etape IV : Modification du flux

Retournez sur votre flux et modifiez votre condition :

Sauvegardez votre flux, relancez une séquence de test, puis renvoyez un nouvel email.

Cette fois-ci et sauf si votre adresse email contient toto, le chemin pris par le flux de test devrait être différent :

Un second tour dans l’autre dossier OneDrive apporte une vérification supplémentaire sur le fonctionnement de votre flux :

Etape V : Ajout d’une nouvelle étape

Afin d’aller plus loin dans la création d’un flux, retournez sur celui-ci, éditez-le puis ajoutez une nouvelle et dernière étape :

Un écran des opérations s’affiche. le formulaire de recherche est d’une grande aide ici. Tapez mail puis sélectionnez Move email (V2) dans la liste des résultats :

Un nouveau bloc apparaît avec des champs obligatoires à remplir :

Cliquez sur le champ Message Id et constatez l’apparition d’une fenêtre latérale :

Cette fenêtre est très précieuse car elle rappelle automatiquement les variables ou les propriétés des objets précédement invoqués. Saisissez id dans la barre de recherche et cliquez sur Message Id :

Cliquez sur Dossier et choisissez le dossier de votre choix :

Sauvegardez votre flux, relancez une séquence de test, puis renvoyez un troisième email.

Constatez la présence de la pastille verte sur cette nouvelle étape :

Retournez sur votre boite électronique et vérifiez l’absence de mail dans la boite de réception, mais confirmez aussi sa présence dans le dossier choisi dans votre flux :

Vérifiez également la présence du fichier attaché dans OneDrive :

Note : Nous aurions pu rajouter une étape pour marquer comme lu le message électronique déplacé ????

Retournez sur la page principale de votre flux pour constater l’historique des lancements :

Conclusion

En seulement quelques minutes, nous avons réussi à automatiser une tâche qui vous prenez potentiellement 15 minutes tous les jours de votre vie ! Cela mérite un bon café ???? J’espère avoir réussi à vous démontrer la simplicité et l’efficacité de l’outil.

Evidemment, l’exemple est simple mais cela prouve que Power Automate est accessible à des non-développeurs et que ses possibilités sont presque aussi grandes que votre imagination !

Envie d’aller plus loin sur le sujet ? Cette vidéo est pour vous :